Nowa luka w zabezpieczeniach komputerów Mac umożliwia wpisanie dosłownie dowolnej nazwy użytkownika i hasła w celu odblokowania panelu Mac App Store w Preferencjach systemowych. Praktycznie rzecz biorąc, prawdopodobnie nie jest to wielka sprawa - panel jest domyślnie odblokowany - ale fakt, że ten problem w ogóle istnieje, jest niepokojącym przypomnieniem, że Apple nie traktuje bezpieczeństwa tak, jak kiedyś.
ZWIĄZANE Z: Ogromny błąd macOS umożliwia logowanie roota bez hasła. Oto poprawka
Rozumiem: dziennikarze techniczni zwykle tracą zmysły, jeśli chodzi o Apple. Najdrobniejsza wada jest nie do uwierzenia, otrzymuje nazwę kończącą się na „brama”, a następnie zapomina o niej w ciągu miesiąca. Na tym etapie jest to regularny cykl i utrudnia czytelnikom rozpoznanie rzeczywistych problemów.
Trochę historii
Powtórzmy więc szybko. W listopadzie 2017 roku błąd macOS pozwolił każdemu utwórz konto roota bez hasła w Preferencjach systemowych po prostu wpisując „root” jako nazwę użytkownika i tworząc dosłownie dowolne hasło. Zamiast odmawiać ci dostępu, tak jak zrobiłby to dobrze zaprojektowany system, macOS High Sierra po prostu by to zrobił utwórz konto roota używając dowolnego wprowadzonego hasła.
Oprócz tego, że umysł jest otępiająco niepewny, jest to dziwne zachowanie. Dlaczego na świecie wymyślenie hasła roota tworzy konto roota z całej sieci? Co się dzieje w backendzie, co sprawia, że jest to możliwe?
Trudno to sobie wyobrazić, dlatego nie był to przypadek przesady dziennikarzy technicznych. Było naprawdę, bardzo źle.
A porządki po tym błędzie nie wzbudziły większej pewności siebie. Jasne, Apple wydało poprawkę, która rozwiązała problem, ale wielu użytkowników ponownie wprowadziło problem, jeśli po zainstalowaniu zainstalowali tygodniową aktualizację 10.13.1. Dopiero w wersji 10.13.2 problem został w pełni rozwiązany, i to dopiero w grudniu 2017 r.
Ale przynajmniej to był koniec. Dobrze?
Najnowszy problem
Nie do końca. Okazuje się, że w Preferencjach systemowych jest więcej niewytłumaczalnych problemów z bezpieczeństwem. Możesz łatwo odtworzyć ten w 10.13.2, jeśli chcesz grać razem w domu, więc otwórz okno i dołącz do mnie! Otwórz Preferencje systemowe na koncie administratora, a następnie przejdź do App Store. Zauważysz, że kłódka w lewym dolnym rogu jest domyślnie otwarta, co oznacza, że możesz dowolnie zmieniać ustawienia.
Nie jestem pewien, dlaczego w ogóle jest tam zamek, skoro jest domyślnie odblokowany, ale nieważne. Kliknij kłódkę, aby „zabezpieczyć” ten panel, a następnie kliknij go ponownie, aby go odblokować. Oto sztuczka: możesz wpisać dosłownie dowolne hasło, a panel się odblokuje.
To samo dotyczy nazwy użytkownika: możesz umieścić wszystko, co chcesz w tym polu, a panel się odblokuje. Wpisałem „Harry” jako nazwę użytkownika i „jest głupi” jako hasło i zadziałało; tak samo jak „Justin” i „jest niesamowity”.
Praktycznie nie stanowi to większego problemu: ponownie, omawiany panel nie jest domyślnie zablokowany, a odblokowanie tego panelu nie daje dostępu do żadnego innego zablokowanego panelu.
Problem w tym, że nie wiemy, dlaczego tak się dzieje i czy błąd, który na to pozwala, może istnieć gdzie indziej. Podobnie jak w przypadku wcześniejszego błędu, zdumiewające, że nikt nie wykrył tego problemu podczas testów, i naprawdę sprawia, że zastanawiasz się, jak bardzo możesz zaufać systemowi macOS, jeśli chodzi o blokowanie danych.
ZWIĄZANE Z: Firmy zajmujące się komputerami PC są zaniedbane w zakresie bezpieczeństwa
Jesteśmy pewni, że aktualizacja to załatwi, zwłaszcza teraz, gdy media robią zamieszanie. Ale wbrew temu, co myślisz, nie lubię robić zamieszania. Wolałbym, żeby wszystko zostało zamknięte. Apple musi podnieść poziom bezpieczeństwa, ponieważ takie rzeczy sprawiają, że wydaje się, że nawet nie zwracają na to uwagi.
